В регулировании персональных данных появляется все больше ограничительных норм, требований к бизнесу и новых видов ответственности. Однако на степень защищенности данных это напрямую не влияет — много данных утекает, и не только из коммерческих источников, но и из государственных или окологосударственных. В интервью в сентябрьском номере журнала «Закон» эксперт рабочих групп Роскомнадзора и Центра компетенции Главного радиочастотного центра, управляющий партнер ООО «Комплай» (Comply) Артем Дмитриев рассказывает о проблемах законодательства в сфере защиты персональных данных, рассуждает о том, какие пути есть для их решения и приводит примеры регулирования отношений в других странах. В этом материале — выдержки из интервью. Полную версию читайте здесь . «Раньше можно было сказать, что законодательство у нас в целом схоже с европейским, поскольку в его основу были заложены Конвенция 108 [1] и Директива ЕС 1995 года [2] . Но за последние годы оно существенно поменялось и использует нечто среднее между европейским и китайским подходами. Европейский подход — в первую очередь субъектно-центричный, когда во главу угла ставятся интересы субъекта персональных данных. Китайский в большей степени преследует публичные интересы, перенимая многие формальные аспекты из Европы. При этом американский ориентируется прежде всего на интересы бизнеса, но его также нельзя назвать вседозволяющим. Уровень защиты интересов субъектов персональных данных вряд ли растет. Все больше данных утекает, и не только из коммерческих источников, но и из государственных или окологосударственных, хотя государство вряд ли в этом признается. Интересы бизнеса не обеспечиваются, несмотря на развитие законодательства. И интересы государства, видимо, тоже недостаточно защищены, раз законодательство меняется так стремительно. Ключевые изменения — это, конечно же, значительное увеличение ответственности: повышение размера административных штрафов и введение уголовной ответственности. Другой тренд — это так называемая национализация данных, стремление государства направлять все потоки работы с данными через свои ресурсы («Госуслуги», «национальное озеро данных», или «ГосДата.хаб») и в пределах территории России. Кроме этого, растет количество комплаенс-требований к бизнесу. При этом никакого смягчения регулирования не наблюдается. Гайки только закручиваются, работать становится все сложнее. Предлагается большое количество законодательных инициатив, в том числе и от Минцифры, чтобы осовременить подходы к регулированию в этой области, но все они теряются в ходе межведомственных согласований. Есть инициативы, которые вызывают опасение. Например, идея оставить право работать с персональными данными только большим компаниям, соответствующим определенным требованиям. Остальные должны будут делегировать им обработку. Эта инициатива влечет антиконкурентные риски и риски информационной безопасности, а также не учитывает реалии, в которых каждое юридическое лицо в России является оператором персональных данных, и сложно логистически представить, как можно реализовать эту идею. У нас формируется какой-то свой подход к регулированию этих отношений, но логика его и целевой образ пока не очевидны. Требования законодательства довольно часто меняются, а подходы контролирующих органов иногда отходят от сути закона, и бизнесу все труднее каждый раз перестраивать процессы для соблюдения меняющихся требований, особенно в случаях, когда бизнес-модель построена именно на работе с данными. Защитить данные на 100% нельзя, но компания должна сделать все возможное, чтобы их защитить, в том числе учить своего работника тому, что делать можно, а чего нельзя, проводить технические тесты защищенности, осуществлять периодические проверки и адаптировать меры по защите данных, в конце концов, минимизировать сбор и хранение данных. И если компания предпринимала все возможные меры, то это должно учитываться в качестве смягчающих или исключающих вину оснований в момент привлечения ее к ответственности за утечки и другие нарушения в области оборота персональных данных. Сейчас же это не берется в расчет вне зависимости от того, какие меры предпринимались компанией для защиты данных: она будет нести ответственность в соответствии с установленными санкциями. Такой подход не особо мотивирует бизнес усиливать меры по защите данных и больше инвестировать в информационную безопасность. Ведь все равно человеческий фактор полностью нельзя исключить. Сейчас Роскомнадзор в основном ограничивается формальным контролем, не исследуя глубоко бизнес-процессы и системы компаний. Понятно, что у него ограничены ресурсы и финансирование, и по-другому, наверное, быть не может. Но надо отметить, что между контролирующим органом и бизнесом становится больше полезного взаимодействия на различных площадках. Нужен взаимовыгодный подход. Можно, например, предложить бизнесу вместо использования согласий на обработку персональных данных собирать и обрабатывать их на основании законного интереса, но ввести запреты на конкретные случаи использования данных и требование предлагать субъекту данных возможность возражать против такой обработки (opt-out). Либо предписать внедрить обязательный функционал на сайте, в личном кабинете пользователя, через который можно было бы запретить отдельные цели обработки данных субъекта. Также можно было бы установить требование для компаний уведомлять Роскомнадзор о коммерческом использовании персональных данных или иных специфических действиях по обработке, имеющих высокие риски. Для этого как раз пригодился бы существующий реестр операторов. Болезненной остается ситуация с обезличиванием персональных данных. В России принят жесткий подход, согласно которому обезличенные данные остаются персональными во всех ситуациях, законодатель и Роскомнадзор не признают понятие анонимизации данных. К обезличиванию предъявляются довольно строгие требования, которые, однако, не позволяют бизнесу эффективно использовать полученные данные. Исключения для обработки обезличенных данных, которые формально прописаны в законе, проблему не решают: разработка и обучение моделей искусственного интеллекта с трудом укладываются в рамки аналитики или статистики, а само обезличивание в некоторых случаях все так же нуждается в самостоятельном основании. В Южной Корее обезличенные данные прямо допускаются к использованию для научных и аналитических целей, включая разработку и обучение ИИ-моделей, при условии соблюдения технических и организационных гарантий. Кроме того, корейский законодатель рассматривает возможность ввести новое исключение: разрешать использование персональных данных для обучения ИИ и без их обезличивания, если цель обучения совместима с исходной целью их сбора и при условии разрешения регулятора». [1] Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981). [2] Директива Европейского парламента и Совета Европейского союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.
]]]]>